전자상거래 보안 위협과 매장을 보호하는 방법

온라인 쇼핑몰을 향한 사이버 공격은 막대한 손실을 야기할 수 있습니다. 금전적 피해는 물론, 중요한 데이터 유출, 그리고 기업 평판에까지 악영향을 미칩니다. 심각한 경우, 사이버 공격은 사업체의 존립 자체를 위협할 수 있습니다. 따라서, 전자상거래 보안은 더욱 강화되어야 하며, 다양한 위협으로부터 온라인 쇼핑몰을 보호하기 위한 적극적인 노력이 필요합니다.

오늘날 온라인 사업자들이 직면한 주요 보안 위협은 무엇이며, 이러한 사이버 공격으로부터 온라인 쇼핑몰을 안전하게 지키기 위한 방법은 무엇일까요? 자세한 내용을 알아보겠습니다.

왜 전자상거래 보안에 집중해야 하는가?

주요 사이버 공격의 동기는 금전적인 이득이며, 전자상거래 분야는 그 잠재력이 높습니다. 따라서 전자상거래 웹사이트가 전 세계적으로 사이버 공격의 표적이 되는 것은 놀라운 일이 아닙니다.

최근 소포스 랜섬웨어 보고서 2023에 따르면, 작년에는 기업의 66%가 랜섬웨어 공격을 경험했습니다. 랜섬웨어 공격으로 인한 평균 복구 비용(몸값 제외)은 182만 달러에 달합니다.

전자상거래 기업은 대량의 데이터를 취급하기 때문에 작은 데이터 침해 사고도 재정적 파탄으로 이어질 수 있습니다. 데이터 유출로 인한 전 세계 평균 비용은 약 445만 달러에 이릅니다.

전자상거래 웹사이트에서는 거래를 위해 결제 정보(은행 계좌 또는 신용카드 정보)를 입력해야 합니다. 따라서 온라인 결제 사기는 업계에서 흔히 발생합니다.

실제로 전자상거래 산업은 2022년에 온라인 결제 사기로 인해 400억 달러 이상의 손실을 입었습니다.

결론적으로, 다양한 전자상거래 보안 위협과 문제로부터 온라인 비즈니스를 보호하려면 강력한 보안 시스템을 구축해야 합니다.

주요 전자상거래 보안 위협

다음은 전자상거래 업체들이 현재 직면하고 있는 주요 보안 위협입니다.

#1. 금융 사기

전자상거래 업계는 다양한 금융 사기에 시달리고 있습니다. 그중에서도 신용카드 사기는 가장 심각한 보안 위협 중 하나입니다. 사이버 범죄자들은 훔친 신용카드 정보를 사용하여 온라인 쇼핑몰에서 무단 결제를 시도합니다.

계정 탈취는 금융 사기를 위해 흔히 사용되는 또 다른 수법입니다. 사이버 범죄자가 온라인 쇼핑몰 사용자의 계정과 그 안에 저장된 은행 정보에 불법적으로 접근하는 일종의 신원 도용 공격입니다. 성공적인 계정 탈취는 피해자의 계정에서 이루어지는 사기성 구매로 이어질 수 있습니다.

지불 거절은 전자상거래 웹사이트에 큰 문제로 작용하여 수익에 직접적인 타격을 줍니다. 전자상거래 지불 거절은 고객이 신용카드 명세서에 표시된 온라인 쇼핑몰 청구에 이의를 제기할 때 발생합니다.

만약 고객이 은행에 청구 취소를 요청하고 은행이 이를 승인하면 판매자는 돈과 판매된 제품을 모두 잃게 됩니다. 추가로, 판매자는 지불 거절 수수료를 지불해야 할 수도 있습니다.

고객이 지불 거절을 요청하는 주된 이유는 무엇일까요?

대부분 위협 행위자가 신용카드 정보를 도용하여 온라인 쇼핑몰에서 승인되지 않은 거래를 했기 때문입니다.

하지만 때로는 고객이 제품 불만족이나 불친절한 반품 처리 절차로 인해 지불 거절을 악용하는 경우도 있습니다. 이유가 무엇이든, 전자상거래 쇼핑몰은 손실을 볼 가능성이 높습니다.

#2. 허위 반품 및 환불

허위 반품 및 환불은 고객이 제품을 반품한다고 주장하지만 실제로는 다른 제품, 손상된 제품, 중고 제품을 반송하거나 아무것도 보내지 않는 경우에 발생합니다.

전자상거래 쇼핑몰이 환불을 처리하거나 다른 상품을 보내면 사기로 인해 금전적인 손실과 재고 손실이 발생할 수 있으며, 배송이나 재입고와 같은 추가적인 비용이 발생할 수도 있습니다.

#3. 피싱 및 프리텍스팅

악의적인 행위자들은 피싱 및 프리텍스팅 공격을 통해 사용자들을 속여 로그인 정보, 신용카드 정보, 그 외 금융 정보 등 민감한 데이터를 얻어내려고 합니다.

사이버 범죄자들은 필요한 세부 정보를 얻은 후 전자상거래 웹사이트에서 무단 구매를 진행합니다.

#4. 스팸

스팸은 악성 링크가 포함된 무관한 메시지를 의미합니다. 스팸 발송 목적은 사용자가 링크를 클릭하도록 속여 스팸 웹사이트로 이동시키거나 악성 코드를 시스템에 설치하게 만드는 것입니다.

전자상거래 웹사이트는 트래픽이 많기 때문에, 해커들은 스팸 메시지를 이용하여 광범위한 대상을 공격합니다. 사이버 범죄자들은 블로그 댓글이나 소셜 미디어 게시물 댓글에 스팸 메시지를 남겨 사용자들이 링크를 클릭하도록 유도합니다.

스팸은 전자상거래 웹사이트의 속도, 보안, 사용자 경험에 부정적인 영향을 미칩니다.

#5. DDoS 공격

DDoS 공격의 주요 목적은 전자상거래 웹사이트 운영을 방해하고 판매에 부정적인 영향을 미치는 것입니다.

분산 서비스 거부(DDoS) 공격은 위협 행위자가 여러 소스에서 온라인 쇼핑몰로 과도한 트래픽을 보내 합법적인 사용자들이 접속할 수 없도록 만드는 공격입니다.

고객이 전자상거래 웹사이트에 접속할 수 없게 되면, 판매 손실이 발생하게 됩니다.

#6. 클릭재킹

클릭재킹 공격은 악의적인 행위자가 쇼핑객들을 속여 다른 요소로 위장된 웹페이지 요소를 클릭하도록 유도하는 공격입니다. 그 결과 사용자는 자신도 모르는 사이에 악성 코드를 다운로드하거나, 위험한 웹사이트를 방문하거나, 민감한 정보를 공유하거나, 계정 설정을 변경하거나, 자금을 이체할 수 있습니다.

예를 들어, 악의적인 행위자가 전자상거래 웹사이트를 손상시킨 후 “할인 쿠폰 다운로드” 버튼 아래에 악성 코드를 숨길 수 있습니다. 이를 클릭하는 사용자는 악성 코드를 자신도 모르게 다운로드하여 보안을 위협받게 될 수 있습니다.

만약 귀하의 쇼핑몰이 피해자의 기기에 악성 코드를 전송했다면 브랜드 이미지가 실추될 수 있습니다.

#7. 악성 코드

악성 코드는 오늘날 기업이 직면하고 있는 가장 심각한 전자상거래 보안 위협 중 하나입니다.

주요 악성 코드 위협은 다음과 같습니다.

E-스키밍

이 공격에서 사이버 범죄자들은 전자상거래 결제 카드 처리 웹페이지에 스키밍 코드를 삽입하여 신용 카드 정보 및 개인 정보를 탈취합니다. 이후에 도난당한 데이터는 위협 행위자가 관리하는 서버로 전송됩니다.

랜섬웨어

랜섬웨어는 전자상거래 웹사이트의 파일이나 데이터를 암호화하여 접근을 불가능하게 만드는 악성 소프트웨어의 일종입니다.

이후 공격자는 암호 해독 키를 제공하는 대가로 몸값을 요구합니다.

랜섬웨어 공격은 온라인 쇼핑몰 운영을 방해하고 재정적 손실을 초래하며, 고객 데이터 유출 시 쇼핑몰의 평판을 심각하게 손상시킬 수 있습니다. 따라서 랜섬웨어 예방을 위한 적극적인 조치가 필요합니다.

트로이 목마

트로이 목마는 정상적인 프로그램처럼 보이지만 실제로는 악성 코드를 포함하고 있는 사기성 소프트웨어 프로그램입니다.

공격자는 합법적인 애플리케이션이나 파일로 위장한 트로이 목마를 유포할 수 있습니다. 장치에 설치되면 관리 콘솔 로그인 정보와 같은 쇼핑몰의 민감한 정보가 유출될 수 있습니다.

따라서 트로이 목마는 전자상거래 웹사이트의 전반적인 보안을 위협할 수 있습니다.

키로거

키로거는 로그인 정보와 민감한 정보를 포함하여 컴퓨터 또는 장치에서 입력하는 모든 키 입력을 감시하는 악성 프로그램입니다.

만약 공격자가 사업용 컴퓨터에 키로거를 설치한다면 관리자 로그인 정보를 탈취할 수 있으며, 전자상거래 웹사이트의 백엔드에 무단으로 접근할 수 있게 됩니다.

#8. 데이터 침해

데이터 침해는 심각한 전자상거래 위협입니다. 데이터 침해가 발생하면 금전적 손실, 평판 훼손, 법적 책임 발생 등 심각한 결과를 초래할 수 있습니다.

데이터 침해의 주요 원인은 다음과 같습니다.

  • 구식 소프트웨어
  • 잘못된 비밀번호 사용 습관
  • 피싱 공격
  • 인적 오류
  • 악성 코드

따라서 데이터를 안전하게 보호하기 위해서는 최적의 데이터 보안 솔루션을 구축해야 합니다.

#9. 악성 코드 삽입: SQL 및 XSS

SQL 및 XSS 공격과 같은 악성 코드 삽입은 전자상거래 쇼핑몰에 심각한 위협을 가합니다.

SQL 삽입 공격은 사이버 범죄자들이 전자상거래 웹사이트 입력 필드의 취약점을 이용하여 악성 SQL 쿼리를 삽입할 때 발생합니다. 이러한 쿼리는 데이터베이스의 데이터를 조작하거나 훔쳐 고객 정보 유출이나 쇼핑몰 제어와 같은 심각한 문제를 초래할 수 있습니다.

XSS(크로스 사이트 스크립팅) 공격은 위협 행위자가 쇼핑몰 웹페이지에 악성 스크립트를 삽입하여 사용자의 브라우저에서 실행되도록 만드는 공격입니다. 이는 무단 접근, 데이터 도난 또는 악성 코드 확산으로 이어질 수 있습니다.

CSP(콘텐츠 보안 정책) 헤더 테스트를 실행하여 전자상거래 쇼핑몰이 XSS, 악성 코드 삽입, 클릭재킹 공격을 방어하기 위해 CSP 헤더를 사용하는지 확인할 수 있습니다.

#10. 봇

해커는 온라인 쇼핑몰 전체를 스캔하여 재고, 가격, 베스트셀러 제품과 같은 중요 정보를 수집하는 봇을 만들 수 있습니다. 수집된 데이터는 경쟁사에 판매될 수 있습니다.

이러한 정보를 획득한 경쟁사는 고객을 유치하기 위해 전략적으로 제품 가격을 책정할 수 있습니다. 결국, 가장 낮은 가격으로 제품을 구매하고 싶어 하지 않을 고객은 없을 것입니다.

따라서 회사는 최적의 봇 탐지 및 완화 솔루션 중 하나를 도입해야 합니다.

#11. 무차별 대입 공격

무차별 대입 공격은 시행착오 방식을 통해 온라인 쇼핑몰 관리자 콘솔의 비밀번호를 알아내려는 해킹 기법입니다. 이러한 공격에서 위협 행위자는 먼저 웹사이트에 연결한 후 자동화된 프로그램을 실행하여 비밀번호를 추측합니다.

따라서 일반적인 비밀번호 사용을 중단하고 비밀번호 도구를 사용하여 강력한 비밀번호를 만들어야 합니다.

#12. MITM (중간자) 공격

MITM(중간자) 공격은 위협 행위자가 온라인 쇼핑몰과 정당한 사용자 간의 통신을 몰래 엿듣는 공격입니다. 그 결과 로그인 정보, 신용 카드 정보 등과 같은 민감한 고객 데이터를 수집할 수 있습니다.

수집된 정보를 사용하여 피해자의 계정 설정을 변경하거나 손상된 계정에서 무단 구매를 할 수 있습니다.

전자상거래 보안 위협 예방 방법

다음 전략들은 전자상거래 위협에 대한 방어력을 강화하는 데 도움이 될 수 있습니다.

#1. 안전한 결제 수단 및 결제 게이트웨이

편의를 제공할 수는 있지만, 고객이 신용 카드 정보를 저장하도록 허용하는 것은 위험합니다. 따라서 웹 서버에 신용 카드 정보를 저장하는 것을 피해야 합니다.

PayPal 또는 Stripe과 같은 제3자 결제 프로세서를 도입하면 웹사이트에서 결제 처리가 중단됩니다. 이는 고객의 민감한 데이터에 대한 보안을 강화하는 효과를 가져옵니다.

다양한 인기 결제 처리 솔루션을 검토하여 귀사의 사업에 가장 적합한 솔루션을 찾으십시오.

#2. SSL 인증서

SSL 인증서는 웹사이트의 신뢰성을 입증하고 웹사이트 서버와 사용자 간의 연결이 암호화되었음을 알려줍니다. 즉, 누구도 웹사이트에서 고객이 수행하는 작업을 가로챌 수 없으며, MITM 공격의 가능성이 제거됩니다.

또한, SSL 인증서는 PCI DSS 규정 준수의 필수 요건입니다. 만약 전자상거래 웹사이트에 SSL 인증서가 없다면, 대부분의 브라우저에서 온라인 쇼핑몰에 접근할 수 없을 것입니다.

따라서 전자상거래 웹사이트에는 SSL 인증서를 필수로 설치해야 합니다.

#3. 고객 주소 확인

신용카드 처리 업체와 은행은 일반적으로 의심스러운 거래를 식별하는 주소 확인 서비스를 제공합니다.

이 서비스는 고객이 제공한 청구서 수신 주소와 은행 기록에 있는 주소를 비교합니다. 결제 과정에서 불일치가 발견되면 시스템은 해당 판매를 거부하거나 추가 검토를 위해 표시할 수 있습니다.

#4. 부인 방지

부인 방지는 온라인 쇼핑몰과 고객 모두 완료된 거래를 부인할 수 없도록 보장합니다.

따라서 디지털 서명과 같은 부인 방지 조치를 도입하면 고객이 구매를 부인하는 것을 방지하고 전자상거래 지불 거절을 줄일 수 있습니다.

#5. 강력한 비밀번호 시행

위협 행위자는 다양한 비밀번호 공격을 시도하여 관리 콘솔의 로그인 정보를 알아내려고 합니다. 따라서 강력하고 추측하기 어려운 비밀번호를 설정해야 합니다.

비밀번호 관리자를 사용하면 비밀번호 관리가 훨씬 쉬워집니다. 비밀번호 관리자는 모든 사용자가 강력하고 복잡한 비밀번호를 생성하도록 도와주며, 최근 데이터 유출 사고로 인해 비밀번호가 노출되면 알림을 제공합니다.

다양한 오픈 소스 비밀번호 관리자를 살펴보고 최적의 비밀번호 관리 도구를 선택하십시오.

만약 클라우드 기반 비밀번호 관리자가 선호하지 않다면 온프레미스 비밀번호 관리자를 고려해 보십시오.

#6. 다단계 인증(MFA)

다단계 인증(MFA)은 전자상거래 쇼핑몰에 추가적인 보안 레이어를 제공합니다. MFA가 활성화되면 코드, PIN, 생체 인식 등 두 가지 이상의 요소를 통해 본인 여부를 확인해야 합니다.

만약 위협 행위자가 비밀번호를 도용하게 되더라도, 다른 인증 요소를 알지 못하면 관리 콘솔에 접근할 수 없습니다.

#7. 안티 멀웨어 및 백신 도구

안티 멀웨어 및 백신 솔루션과 같은 사이버 보안 도구는 악의적인 공격으로부터 전자상거래 웹사이트를 안전하게 지켜줍니다.

멀웨어는 랜섬웨어, 키로거, 원격 액세스 트로이 목마 등 다양한 악성 프로그램을 총칭하는 용어입니다. 강력한 안티 멀웨어 프로그램을 설치하면 다양한 위협으로부터 사용자를 보호할 수 있습니다.

또한, 이러한 도구에 자동 업데이트 기능이 활성화되어 있는지 확인해야 합니다.

더 자세한 내용은 ‘PC에서 악성 코드 제거하는 방법’을 참고하십시오.

#8. 관리자 패널 및 서버 보안

전자상거래 웹사이트 관리자 패널에 대한 복잡한 비밀번호를 생성해야 합니다.

대문자, 소문자, 숫자, 특수 문자를 조합하여 복잡한 비밀번호를 만들고, 관리자 비밀번호를 정기적으로 변경하십시오.

사용자가 작업을 수행하는 데 필요한 최소한의 권한만 부여하는 최소 권한 원칙을 적용해야 합니다.

또한, 알 수 없는 IP 주소에서 접근을 시도하면 관리자 패널에서 알림이 표시되도록 설정해야 합니다.

#9. 웹 애플리케이션 방화벽

WAF(웹 애플리케이션 방화벽)는 애플리케이션 또는 웹사이트에서 주고받는 데이터 패킷을 모니터링, 필터링 및 차단하는 보안 도구입니다.

웹 애플리케이션 방화벽을 도입하면 온라인 쇼핑몰에서 주고받는 웹 트래픽을 관리할 수 있습니다. 또한 SQL 삽입, XSS 공격, DDoS 공격과 같은 악의적인 공격 시도를 차단할 수 있습니다.

다양한 오픈 소스 웹 애플리케이션 방화벽을 확인하여 귀사에 가장 적합한 솔루션을 선택하십시오.

#10. 데이터 백업

최신 백업을 보유하고 있으면 중요한 데이터가 손상되거나 손실된 경우에도 장기간의 중단, 재정적 손실, 평판 손상 없이 신속하게 복구하고 고객에게 지속적인 서비스를 제공할 수 있습니다.

온라인 쇼핑몰의 데이터를 백업할 때는 3-2-1 규칙을 따라야 합니다. 데이터 사본 3개를 만들어 서로 다른 두 장치 또는 플랫폼에 저장하고, 그중 하나는 오프사이트 저장소에 보관해야 합니다.

모든 엔터프라이즈 데이터 백업 솔루션을 사용하여 데이터 백업 프로세스를 자동화할 수 있습니다.

자세한 내용은 ‘모두가 따라야 할 데이터 백업 모범 사례’를 참고하십시오.

결론

전자상거래 산업의 전례 없는 성장과 함께 전자상거래 위협 또한 증가하고 있습니다. 악의적인 행위자들은 과거 그 어느 때보다 온라인 쇼핑몰을 적극적으로 공격하고 있습니다. 작은 데이터 침해 사고도 쇼핑몰의 생존을 위협할 수 있습니다.

따라서 쇼핑몰 보안을 최우선 과제로 삼고 위협을 완화할 수 있는 최고의 전자상거래 보안 솔루션을 선택해야 합니다.